Le projet de loi a certes fait l’objet d’une saisine du Conseil constitutionnel le 16 mai 2018 par plus de soixante sénateurs, en application de l’article 61 alinéa 2 de la Constitution.
Cependant, au regard de l’objet de cette saisine, on peut d’ores-et-déjà retenir les points suivants (qui devraient rester inchangés) :
- Mise en garde liminaire: la loi informatique et liberté, même modifiée pour être en conformité avec le « paquet européen de protection des données » du 27/04/2016, ne constitue plus le corpus unique des règles relatives à la protection des données personnelles
– le RGPD est directement applicable sans qu’il soit besoin d’en recopier les termes en droit interne ; c’est d’ailleurs pourquoi toutes les dispositions du projet de loi qui ne constituaient que la redite du RGPD ont été supprimées de sa version définitive. On observe que la loi procède en revanche à plusieurs reprises à des renvois aux dispositions de ce Règlement.
– il faut donc combiner la lecture du RGPD, de la Directive, de la Loi informatique et Libertés et de ses textes d’application pour disposer d’un panorama complet des règles applicables. Ce qui en soit n’en facilite pas la lecture… mais est inévitable.
– là où les choses se corsent encore : comme le législateur n’a à ce stade procédé qu’aux modifications strictement indispensables de la loi informatique et libertés sur le fond, certaines dispositions de cette dernière peuvent diverger à la marge de celles du Règlement. Autrement posé, des dispositions formellement inchangées et toujours en vigueur dans la loi de 1978 nouvelle mouture ne seront plus applicables, celles du Règlement s’appliquant directement à partir du 25 mai. On signalera que ces contradictions restent limitées: la loi a éliminé les dispositions foncièrement contraires à celles du RGPD.
Exemples de contrariétés (relevés notamment par les sénateurs dans leur saisine du CC du 14/05/2018) :
– définitions légèrement différentes de « données », « personnes concernées », « traitement », fichier » (art. 2 de la loi et 4 du RGPD;
– idem pour les conditions de licéité (art. 7 de la loi et 6 du RGPD).
NB: Le toilettage complet de la loi interviendra ultérieurement, par la voie de l’ordonnance prévue à l’article 32 de la loi.
- Les principes clés applicables aux traitements de données à caractère personnel demeurent
Les principes figurant aux articles 1 à 7 de la loi restent pratiquement inchangés :
– maîtrise de ses données par la personne concernée;
– loyauté et licéité de la collecte
– interdiction de détournement des finalités du traitement
– minimisation des données personnelles
– exactitude et mise à jour des données
– durée limitée à ce qui est nécessaire à la finalité
– fondement légal du traitement (consentement ou autre)
– interdiction de principe de traitement des données sensibles (race, origine, religion, génétique…)
La protection des données sensibles est accrue
– le champ des données dites sensibles est d’abord étendu: outre les origines raciales, ethniques, opinions politiques, philosophiques et religieuses, l’appartenance syndicale, la santé ou la vie sexuelle constituent désormais des données sensibles les données génétiques, biométriques et l’orientation sexuelle (art. 8-1).
– A noter: pour sécuriser juridiquement la poursuite des traitements de données biométriques permettant aux employeurs de contrôler l’accès aux lieux de travail, le législateur a introduit une exception à l’interdiction des traitements de données sensibles dès lors qu’ils seront conformes à un règlement-type à venir (art. 8-II-8°).
- Les modalités de contrôle changent
On passe d’un système de contrôle a priori, au travers d’un régime de droit commun de déclaration des traitements auprès de la CNIL et, par exception, d’autorisation préalable (pour les personnes publiques notamment), à un contrôle ex-post.
Ce qui se traduit:
– d’une part par la suppression des formalités préalables ;
– d’autre part, et corrélativement, par une responsabilisation des ST et des RT avec une logique de conformité continue.
Troisième volet de ce changement: la CNIL voit ses missions d’accompagnement renforcées et ses pouvoirs d’investigation et de sanction augmentés.
Suppression quasi-totale des formalités préalables
L’ensemble des formalités préalables jusqu’ici imposées a été supprimé. Plus précisément, plus aucun traitement ne nécessite de saisir la CNIL par voie de déclaration ou de demande d’autorisation.
Cependant, un régime spécial de contrôle préalable persiste pour certains traitements, qui ne devraient que très exceptionnellement concerner les CT :
1/ certains traitements comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (RNIPP) (art. 22 de la loi) sont encadrés, tant en ce qui concerne les catégories de RT que les finalités, par les dispositions d’un décret en CE pris après avis motivé de la CNIL ;
Rq: Les traitements actuellement créés par arrêté ministériel ou décision de l’organe délibérant d’un EP ou d’une CT en application du II de l’art. 27, qui portent sur le NIR et sont mis en oeuvre par des services ayant pour mission de déterminer les conditions d’ouverture d’un droit, d’établir l’assiette ou de recouvrer des taxes de toute nature, devraient faire l’objet d’un décret en Conseil d’Etat.
2/ certains traitements mis en oeuvre pour le compte de l’Etat restent autorisés par arrêté ministériel pris après avis de la CNIL (art. 26);
3/ Sont autorisés par décret en conseil d’Etat après avis de la CNIL les traitements exercés pour le compte de l’Etat agissant dans le cadre de l’exercice de ses PPP qui portent sur des données génétiques ousur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes (art. 27).
Par ailleurs, la CNIL doit être consultée, en vertu du RGPD lorsqu’une analyse d’impact fait apparaître qu’un risque élevé est associé à la mise en oeuvre d’un traitement de données (Cf. article à La Gazette des communes « Réaliser une analyse d’impact relative à la protection des données (AIPD) en 5 étapes », 5 février 2018).
Logique de mise en conformité permanente: les nouvelles obligations des RT/ST
Elles figurent directement dans le RGPD. La loi instaure cependant des instruments et un accompagnement facilitant la mise en conformité.
L’accompagnement de la CNIL via la soft law
Dans le cadre de ce changement de logique, les missions de la CNIL subissent une évolution certaine.
La responsabilisation des RT et ST va en effet de paire avec un accompagnement de la CNIL, qui permet de sécuriser juridiquement la mise en conformité en amont.
A cette fin:
– la mission d’information de la CNIL est confirmée et précisée (art. 11-1°): elle « peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises« .
– mais surtout, il est prévu qu’elle élabore des outils de droit souple adaptés (en particulier en prenant en compte les spécificités et besoins des PME et des collectivités territoriales) guidant les acteurs dans leur démarche de mise en conformité et d’évaluation des risques.
Ces outils sont les suivants:
– lignes directrices,
– recommandations
– référentiels.
Ils ont vocation à remplacer les autorisations uniques, normes simplifiées, packs de conformité précédemment adoptés, tout en s’en inspirant.
Le contenu de ces nouvelles normes n’est pas précisé.
Il est cependant indiqué sur le site de la CNIL que :
« La CNIL prépare activement la rédaction de référentiels pour guider les professionnels dans leurs démarches de conformité. Ces référentiels seront issus des normes déjà adoptées par la CNIL dans les dernières années (autorisations uniques, normes simplifiées, packs de conformité, etc.), sur lesquelles les organismes peuvent d’ores et déjà s’appuyer pour s’assurer que leurs traitements sont légaux. Ces référentiels, sectoriels pour certains, permettront aux professionnels de se prémunir contre des sanctions. »
S’agissant des lignes directrices, elles évoquent évidemment les lignes directrices du G29 (sur le DPO, étude d’impact…), qui va devenir le Comité européen de la protection des données.
– la CNIL peut également – mais cette mission semble facultative – établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable de ses services (art. 11-I 2° i)
– la CNIL accompagne par ailleurs les RT et ST dans leur auto-régulation (art. 11) :
-> en encourageant l’élaboration de codes de conduite, définissant les obligations qui incombent aux RT et ST, compte-tenu des risques et des besoins spécifiques.
-> en homologuant et publiant des méthodologies de référence destinées à favoriser la conformité des traitements de données de santé (ex: PMI pour les départements)
-> en établissant et publiant, en concertation avec les RT concernés, des règlements types en vue
– d’assurer la sécurité des systèmes de traitement de données
– de régir les traitements de données biométriques, génétiques et de santé
-> en prescrivant des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé, sauf pour les traitements mis en oeuvre pour le compte de l’Etat
-> en certifiant des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au RGPD et à la loi, et en agréant des organismes certificateurs pour ce faire, sur la base de l’accréditation du COFRAC ou conjointement avec ce dernier. Dans tous les cas la CNIL élabore ou approuve les critères des référentiels de certification et d’agrément.
On observe donc que la certification, auparavant limitée aux processus d’anonymisation, est généralisée. Il est également à noter que la délivrance de labels par la CNIL perdure (art. 11-I 3°); on peut considérer qu’il s’agit là de la marque visuelle de la conformité au RGPD.
L’augmentation des pouvoirs de contrôle et de sanction de la CNIL
* Un contrôle accru
Celui-ci passe par:
– la possibilité pour les agents de la CNlL de contrôler la mise en oeuvre de traitement dans des locaux qui n’ont ni le caractère de local professionnel, ni celui de domicile privé, tels que les parties communes d’immeubles (art. 44 quinquies)
– la clarification des secrets pouvant être opposés aux agents de la CNIL : secret professionnel des relations avocats/clients, secret des sources des traitements journalistiques, secret médical ;
– la possibilité pour les agents de la CNIL de contrôler les services de communication au public en ligne sous une identité d’emprunt, dans des conditions qui seront précisées dans un décret à paraître (art. 44-III al. 4). Cela s’ajoute aux actions d’enquête et de contrôle sur pièce et sur place.
– la possibilité pour les agents et membres de la CNIL de se faire assister par des experts.
Dans les faits, la CNIL se heurte d’ores-et-déjà à un manque de moyens pour exercer ce contrôle accru qui est attendu d’elle (notamment en termes de nombre d’agents).
* Des mesures correctrices et sanctions graduées
Les mesures correctrices en cas de méconnaissance par le RT ou le ST de ses obligations sont désormais réparties entre le Président et la formation restreinte de la CNIL et varient selon le degré d’urgence et de gravité (Cf. tableau ci-dessous).
Il est à noter qu’elles font l’objet de critiques dans le cadre du recours pendant devant le Conseil constitutionnel, notamment en raison de la possibilité de cumul offerte par la loi.
| Degré du manquement | Auteur de la mesure | Article de la loi | Mesure(s) | Modalités |
| potentiel | Président de la CNIL | 45 I | avertissement | |
| avéré mais susceptible d’être mis en conformité | Président de la CNIL | 45 II | mise en demeure :
– De satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ; – De mettre les opérations de traitement en conformité avec les dispositions applicables ; – De communiquer à la personne concernée une violation de données à caractère personnel ; – De rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données et éventuellement de notifier aux destinataires des données les mesures qu’il a prises. |
Délai fixé librement qui peut être de 24 H en cas d’extrême urgence
Possibilité de saisir le bureau pour rendre publique la mise en demeure |
| avéré | Président de la CNIL puis formation
restreinte |
45 III | saisine de la formation restreinte pour prononcé d’une ou plusieurs des mesures suivantes:
– Un rappel à l’ordre ; – Une injonction de mettre en conformité le traitement avec les obligations résultant de la [loi CNIL] ou du [RGPD] ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; – la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée en application du [RGPD] ou de la [loi CNIL] ; – le retrait d’une certification ou l’injonction, à l’organisme concerné, de refuser ou de retirer la certification accordée ; – La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ; – La suspension partielle ou totale Le retrait de la décision d’approbation des’une règles d’entreprise contraignantes ; – une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux paragraphes 5 et 6 de l’article 83 du [RGPD], ces plafonds sont portés respectivement à 20 millions d’euros et 4 % du chiffre d’affaires. |
Ces mesures peuvent ou non être précédées d’un avertissement et/ou d’une mise en demeure (mais la mise en demeure ne constitue plus le préalable indispensable à la saisine de la formation restreinte)
La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés à l’article 83 du [RGPD]. |
| avéré + urgence à intervenir car constitue une violation des droits et libertés de l’art. 1er de la loi | Président de la CNIL puis formation restreinte | 46 | saisine de la formation restreinte pour prononcé d’une ou plusieurs des mesures suivantes:
– L’interruption provisoire de la mise en œuvre du traitement, y compris d’un transfert de données hors de l’[UE], pour une durée maximale de trois mois, - La limitation du traitement de certaines des données [personnelles] traitées, pour une durée maximale de trois mois, – La suspension provisoire de la certification délivrée au responsable du traitement ou au sous-traitant ; - La suspension provisoire de l’agrément délivré à un organisme de certification ou un organisme chargé du respect d’un code de conduite ; – La suspension provisoire de l’autorisation délivrée sur le fondement du III de l’article 54 du Chapitre IX [traitements de données [personnelles de santé] à des fins de recherche / étude / évaluation de la [loi CNIL]. – L’injonction de mettre en conformité le traitement avec les obligations résultant du [RGPD] ou de la [loi CNIL], qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; – Un rappel à l’ordre ; – L’information du Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui sont mentionnés aux mêmes I et II de l’article 26. Le Premier ministre fait alors connaître à la formation restreinte les suites qu’il a données à cette information au plus tard quinze jours après l’avoir reçue. |
Procédure contradictoire définie par décret en Conseil d’Etat, mais dont les contours sont déjà dessinés par la loi:
– rapport de la CNIL – observations en défense - éventuel observations orales du rapporteur En complément: – La formation restreinte peut rendre publiques les mesures qu’elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées – la formation restreinte peut ordonner que le responsable ou le sous-traitant concerné informe individuellement, à ses frais, chacune des personnes concernées de la violation des dispositions de la [loi CNIL] ou du [RGPD] précité relevée ainsi que, le cas échéant, de la mesure prononcée |
| avéré + gravité | Président de la CNIL puis juge des référés | 46 | En cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er, le président de la [CNIL] peut en outre demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés. |
Elisa CORAZZA, Avocat Directeur, DPD du cabinet Goutal, Alibert & Associés
Forts de notre connaissance des collectivités locales, nous avons développé, aux côtés de nos activités traditionnelles de conseil et de contentieux, une activité de conseil en organisation, fondée sur notre expertise juridique, que nous avons déclinée depuis plusieurs mois déjà à la mise en oeuvre du RGPD.
Nous pouvons donc assurer un éventail de prestations, depuis la formation ou le conseil ponctuel, jusqu’à la délégation totale de la mission DPO/DPD, en passant par l’assistance au DPO interne.
